Нова зловредна платформа краде крипто и записва клавишни натискания

Изследователите по сигурност от Cisco Talos са открили съвсем нова платформа за зловреден софтуер, която според тях полага допълнителни усилия, за да зарази дадено устройство.

PS1Bot може да записва натисканията на клавишите, да извлича данни за криптовалути и да остава на компрометирания краен пункт, както се посочва в доклада на компанията.

PS1Bot се допълва от кампания за злонамерена реклама, както и от SEO отравяне, което подмамва нищо неподозиращите жертви да изтеглят зловредния софтуер. Cisco Talos не посочва каква е темата на тези злонамерени реклами и страници, кои са обичайните жертви или колко успешна е кампанията.

Те посочват, че всеки, който изтегли ZIP файла, може да очаква JavaScript payload, който действа като dropper и изтегля скрипт от външен сървър.

Този скрипт записва PowerShell скрипт във файл на диска и го изпълнява. От своя страна, PowerShell скриптът се свързва с командния и контролен (C2) сървър на злоумишленика, извличайки допълнителни команди, които превръщат зловредния софтуер в това, което е необходимо в момента.

Рамката може да се превърне в много неща. Тя може да служи като инструмент за разузнаване, споделяйки с нападателите подробности за антивирусните програми, работещи на компютъра, както и основна системна информация.

Може да служи като инструмент за заснемане на екрана или записване на клавиши, като предава екранни снимки и натискания на клавиши към C2. Може да работи и като инструмент за кражба на портфейли, като открадва информация за портфейли с криптовалута. Накрая, може да остане на устройството чрез PowerShell скрипт, който се стартира автоматично при рестартиране.

Информация през techradar